在我的应用程序中,我有一个User模型,它有一列rememberable_token。创建用户时,随机安全字符串保存在before_create过滤器中,作为用户的安全令牌:
user.rememberable_token = SecureRandom.urlsafe_base64
在会话控制器中,它使用该令牌的值创建一个永久cookie,这样用户在关闭浏览器时不会注销,只有在通过logout操作退出时才会注销:
会话控制器:
def create
.
.
cookies.permanent.signed[:permanent_user_session] = user.rememberable_token
end
def logout
cookies.delete :permanent_user_session
redirect_to root_url
end
cookie在应用程序控制器中用于确定是否存在当前用户,在一些控制器中使用的before_filter中用于确定用户是否已登录并获得授权。
应用程序控制器:
def current_user
@current_user ||= User.find_by_rememberable_token(cookies.signed[:permanent_user_session]) if cookies.signed[:permanent_user_session]
end
def authorize
unless User.find_by_rememberable_token(cookies.signed[:permanent_user_session])
render :action => 'login'
end
end
问题是,这是安全的,还是容易发生会话劫持?如果它容易被劫持,如果在session#logout方法中,它在删除现有cookie之前为用户创建了一个新的rememberable_token(但没有创建具有该值的新cookie),那可以吗?
谢谢。
如果有人正在窃取cookie,则此代码为:
def current_user
@current_user ||= User.find_by_rememberable_token(cookies.signed[:permanent_user_session]) if cookies.signed[:permanent_user_session]
end
仍然有效。在您的注销方法中,您必须从用户表中删除令牌,并在登录时重新创建。
基本上,您在创建时所做的事情应该在每次登录时完成,并在每次注销时恢复。
我可能会这样做:
会话创建时:
random_string = SecureRandom.urlsafe_base64
cookies.permanent.signed[:permanent_user_session] = random_string
user.rememberable_token = Digest::MD5.hexdigest(random_string) && user.save
会话销毁:
cookies.delete :permanent_user_session
在应用程序控制器中:
def current_user
@current_user ||= User.find_by_rememberable_token(Digest::MD5.hexdigest(cookies.signed[:permanent_user_session])) if cookies.signed[:permanent_user_session]
end
def authorize
unless @current_user
render :action => 'login'
end
end
通过这种方式,您存储了一个令牌的哈希,并且每次新登录都会重新生成一个新的哈希(并且在每次注销时过期)。Rails负责CSRF,但长期会话可能不是一个好主意。